Expertanalys: Scenarier kring Försvarsmaktserverns attack mot NewsVoice

NewsVoice är en oberoende nättidning med utgivningsbevis som startade 2011. Syftet är att publicera nyheter, debattartiklar, kommentarer och analyser. Stöd vårt arbete genom att donera, sponsra (tex granskningar, utlandsreportage) eller annonsera.
publicerad 14 oktober 2019
- NewsVoice redaktion
Temabild: "Cyberförsvaret". Montage: NewsVoice. Foto: Shutterstock.com

NewsVoice tekniker, med ett brett kunnande inom serverteknik och systemtänkande inom IT, ger sin bild av varför en av Försvarsmaktens servrar attackerade NewsVoice. Frågan är varför en extremt kraftfull server som inte ens borde ha tillgång till internet överhuvudtaget fanns med i ett botnet som angriper en liten nättidning. Svaret är mest sannolikt: ren klantighet.

Text: NewsVoice IT-tekniker | Sammanfattning och bakgrund: Torbjörn Sassersson, redaktör NewsVoice | Temabild ovan: “Cyberförsvaret”. Montage: NewsVoice. Foto: Shutterstock.com. Personen på bilden är en modell och därför inte inblandad.

Bakgrund

Den 9 oktober avslöjade NewsVoice att en av Försvarsmaktens servrar löpte amok och blivit en del av ett botnet som attackerade NewsVoice. Nyheten spreds inom de nya etablerade nätmedierna och generellt i sociala medier medan gammelmedierna och den aktuella myndigheten som förväntat alla förblev knäpptysta.

Många detaljfrågor ställdes av läsare om händelsen och NewsVoice tekniker, som vill förbli anonym, förklarar nedan vad som vi säkert vet har hänt och hur det kan ha gått till.

Längst ner i redovisar vi de senaste 2 årens botnet-attacker mot NewsVoice.

NewsVoice tekniker förklarar

Vad vi vet om vad som hände och hur situationen såg ut:

  • IP-nummer som administreras och används av Försvarsmakten.
  • Bekräftelse skedde vid telefonkontakt med Försvarsmakten att det var en enhet hos dem som egentligen inte skall ha internet-access.
  • Anslutningen mot internet skedde via en administrativ PC som via Wifi var ansluten till internet.
  • Anslutningen från denna enhet rörde hundratusentals (sannolikt miljontals) inloggningsförsök via SSH2 under uppskattningsvis 5-10 dagar.
  • NewsVoice webbserver är dedikerad och inga andra sajter finns på det IP-numret.
  • Utöver denna enhet var det tusentals andra enheter som tex: skrivare, kameror, kylskåp, surfplattor och diverse andra IoT-enheter.
  • Det skedde en blandning av inloggningsförsök (intrångsförsök) och pingningar (DDoS), alltså överbelastningsattacker.

Logik

Att en server på försvarsmakten används i en avsiktlig och riktad attack mot NewsVoice är ytterst ologisk och rent av parodisk.

Om nu någon har access till en server på detta sätt så skulle den aldrig någonsin användas för att attackera en mindre nättidning. Man kan likna det med att ha huvudnyckeln till ett bankvalv, men man använder nyckeln till att öppna kapsylen på kvällsölen.


Att försvarsmakten borde ha koll på sin trafik lämnas där hän, då vi inte vet eller kan bekräfta vilka skydd de haft på sin utrustning över huvud taget, men man kan tänka sig att de borde vara överdimensionerade och i flertalet lager.


NewsVoice som måltavla

Antagandet att just NewsVoice var måltavlan vet vi inte, det är dock överhängande att attacken skett mot fler sajter endera utefter en förutbestämd lista eller utefter IP-skanning eller randomiserat.

Botnet likt dessa gör ofta två saker:

  • de vill växa och bli kraftigare, men även
  • utföra attacker mot riktade eller slumpvisa mål.

Om NewsVoice utsattes för en riktad attack eller om det var en del i ett botnets försök att expandera sig självt för att få kontroll över NewsVoice server för att utföra ytterligare attacker går inte att säkert veta.

Vi utelämnar huruvida NewsVoice var måltavla eller inte, mest troligt var det randomiserade försök att överta mer kapacitet och NewsVoice dedikerade server var ett av sannolikt många mål.

Möjliga scenarier bakom attacken mot NewsVoice i oktober 2019

Ett botnet bestående av främst diverse IoT-enheter attackerar naturligtvis NewsVoice av en orsak.

  1. Servern på Försvarsmakten hamnar av misstag i ett botnet av en administratör som klantar sig.
    Kommentar: Logiskt sett är det den mest sannolika förklaringen. Man använder inte en sådan tillgång avsiktligt av någon orsak då man röjer den tillgång man har.
  2. Servern ingår i det nya cyberförsvaret och Försvarsmakten (FM) har tillgång till ett eget botnet och personalen klantar sig med sin egen server endera i drift eller vid utbildning.
    Kommentar: Nästan så att detta blir lite humoristiskt, men ändå möjligt.
  3. Attacken var riktad mot NewsVoice och man använder avsiktligt en server på FM.
    Kommentar: Högst osannolikt. Det vorer så urbota korkat att om någon har kontroll över en sådan server skulle den aldrig någonsin användas på detta sätt.
  4. Att FM eller annan myndighet aktivt och avsiktligt attackerar Newsvoice, oavsett orsak.
    Kommentar: Detta kan avskrivas helt som möjligt scenario.

Så långt teknikerns redogörelse.


Sammanfattning av redaktören

Vi kan konstatera att NewsVoice var ett mål, av möjligen flera mål, för en högst avancerad attack av ett botnet där den starkaste enheten som teknikern kunde identifiera var en särdeles kraftfull analysserver på en “cyberenhet” inom Försvarsmakten. Det var Försvarsmaktens egen personal som uppgav att det var en analysserver som utförde attacken.

Teknikern tror att denna server mest sannolikt blivit en del av ett botnet beroende på ren klantighet inom Försvarsmaktens administration av ett kluster av analysservrar där ingen borde haft internet-access överhuvudtaget.

Teknikern misstänker därför att attacken från Försvarsmaktens server mot NewsVoice var något som inte myndigheten låg bakom eller ens kände till eftersom det var teknikern som upplyste myndigheten om att den deltog i en attack mot NewsVoice.

NewsVoice blev alltså inte attackerat av Försvarsmakten som organisation, utan istället av en av myndighetens servrar. I övrigt vet vi inte vem som hyrde eller använde detta botnet för att angripa NewsVoice. Vi vet bara att det är ett faktum.

Ytterligare läsarfrågor kan postas i kommentarsfältet nedan. Vi redovisar nedan de senaste 2 årens botnet-attacker mot NewsVoice.

Text: NewsVoice IT-tekniker | Sammanfattning och bakgrund: Torbjörn Sassersson, redaktör NewsVoice

Relaterat – historik

Donera till NewsVoice

Så här kan du stötta Newsvoice

  • Försvarsmakten får snart vända sig till Newsvoice för konsulthjälp. NV är ju skickligare än Sveriges Försvarsmakt på att hålla hackare på avstånd!! Inte illa pinkat i revirhörnan, grattis Newsvoice 😉

  • Alla dessa attacker har endast resulterat i att NewsVoice-sajten blivit starkare. Nästa steg är att tex köpa in cloud fare-teknik…

    Läs mer: Cloudflare har planerat den perfekta hämnden om USA slopar nätneutraliteten

    “Cloudflare är en dns-leverantör som bland annat skyddar sina kunder mot ddos-attacker. Många stora webbtjänster står på kundlistan och runt tio procent av alla internettrafik går via bolagets servrar.”

    Lite annat kul från samma artikel:

    “”Kan inte någon techmiljardär vara så snäll och köpa den lokala internetleverantören där FCC:s ordförande Ajit Pai bor och ge honom internethastigheten hos ett 14.4k-modem som tack för att han dödar nätneutraliteten”, skrev Josh Constine igår.

    Kort därefter får han svar från en av nätets tungviktare, Cloudflares grundare och vd Matthew Prince.

    ”Jag kan fixa det här på ett annat, men lika effektivt, sätt”, skriver Matthew Prince. Han fyller sedan i att han ska skicka ärendet vidare till sina jurister för att säkerställa att de inte bryter mot några lagar.”

    https://www.idg.se/2.1085/1.693300/natneutralitet-usa-cloudfare

  • Utgår vi från det som är känt; kan konstateras att attacken utfördes av en spelare med avsevärda resurser. Det ligger närmast till hands att tänka sig en stat, eller i vart möjligen ett consortum av privata aktörer finansierade av den djupa staten. Något annat är inte troligt med tanke på:

    1.) Kostnaderna för att hyra in en botnet av den här digniteten.
    2.) Nivån av kompetens, vilken hackar som helst tar sig inte in i svenska försvarsmaktens tunga servrar samt tillika i 1000-tals enheter av internet of everything i en riktad attack.
    3.) Bara en stats har intresse av att släcka oberoende nättidningar, där sanningen kommer fram, som den gör på NewsVoice.

    Anser att NewsVoice ska anmäla försvarsmakten för brott och angående dataintrång säger lagen:

    Brottsbalk (1962:700)
    9 c §
    Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.

    Låt polisen gör sitt jobb. Sedan får vi se hur försvarsmakten svarar på anmälan. Det var en olagligt handling försvarsmakten gjorde. Brott skall beivras.

  • Tack för kommentarer. Jag tror “man” vill stoppa frön från att gro, alltså rensa “ogräs” i ett tidigt skede innan det börjar växa sig starkt och sprida sig. Det är en sannolik modus operandi för att hantera “ogräs”, dvs fria oberoende medier och enskilda personer som påverkar opinion med fakta och objektivitet.

    • Torbjörn. Intrångsförsöken kan jag förstå eftersom de vid lyckat intrång skulle ha haft full kontroll över sajten. Men det där med överbelastningsattacker är ju lite menlöst. Visst kan de ta ned sajten tillfälligt och likaså sega ned den så allt går extra långsamt. Men detta resulterar ju mest i ett merarbete och en extra kostnad för sajtägaren som det medför en segare upplevelse för besökaren av sajten, men det resulterar knappast att de får bort någon från Internet för gott. Det betyder ju att de bara är lite kostnads/arbetskrävande fartbulor utan någon större funktion än så, vilket i slutänden också betyder att de är menlösa idioter.

  • Med tanke på mängden intrångsförsök per sekund, talar vi antagligen om en avancerad brute-force attack. Nu känner jag till lösenordet för NewsVoice, inte lösenordet direkt, men väl längan och komplexiteten. Tur för NewsVoice att Torbjörn begagnar sig av starka lösenord.

    Många frågor här: Om Fms analysserverns IP-arkitektur var sådan att den ej kunde komma åt internet (t ex förlagd DMZ där servern då borde vara logisk, fysiskt och geografiskt avskild från FMs övriga nät som har access till internet?) hur kunde servern då användas ut på nätet mot NewsVoices webbhotell – att den blev hackad och bakvägen och får accessen genom PC ut på internet? Uppstår det inte en logisk flaskhals då?

    Brukligt är annars att vill man skydda en känslig server, skall den ej ha kontakt med internet, eller något nät på insidan alls, men i och med att servern administrerades från en PC, var tydligen inte så fallet. Vidare måste PC WIFI-inställning varit i outo-läge. Alltså att den prövar att automatisk koppla upp sig till en tidigare accesspunkt, utan att administratören godkänner detta. Kör man WIFI, skall man aldrig klicka i automatisk uppkoppling, utan alltid manuellt godkänna. Du vet inte om nätet har blivit hackat med ett annat nät, då automatiken går efter namn på WIFI-nät, inte MAC- och IP-nummer.

    Om säkerheten varit hög på denna analysserver, måste hackaren kunnat ändra på brandväggsregler osv, så att servern kunnat nå internet. I så fall mycket allvarligt. Eller att många programagenter som flödesrelegeringar styrts från en PC? I så fall måste hackaren fått kontroll över hela PCn.

    Sedan är det lite svårt att förstå vad som ömsom menas med “enhet” och ömsom “PC”: “Anslutningen från denna enhet rörde hundratusentals (sannolikt miljontals) inloggningsförsök via SSH2”. Kom intrångsförsöken från servern (enhet?) via PC? Eller via enheten (servern) direkt, och loggar Torbjörn in via SSH, eller kom intrångsförsöken från FM via SSH över port 22?

    Om man vill ta sig in i ett system, vore de inte enklare att snopa kommunikationen över port 22 till 142.93.133.247 ( NewsVoices IP-nummer) och sedan försöka dekryptera? Byter man inte lösenord regelbundet så arbetar tiden för hackaren. En annan variant är att köra en tvåstegsinloggnin, via en dedikerad mobil, då kommer inte hackaren in, ens om de listat ut lösenordet.

    • Intressanta tankar, men hänger inte med i allt du skriver.

      En sak som jag misstänker dessa botnets gör är att söka efter misstag. Teknikern säger bla att ibland när en dator utsätts för intrångsförsök kan den som har datorn göra misstaget att starta om datorn och då sker intrånget. Jag tror teknikern menade så. Varför fungerar det?

      En annan sak jag funderar på är den tvåstegsinloggning som NV använder. Inlogget i steg 2 sker via en kinesisk Huawei och jag skulle gissa att det blir svårare att sno andrastegskoden då. Kan det stämma? Västmakterna hatar ju Huawei för att tex FRA eller NSA inte kan plocka upp den trafiken, vad jag förstår.

      • “Teknikern säger bla att ibland när en dator utsätts för intrångsförsök kan den som har datorn göra misstaget att starta om datorn och då sker intrånget”.

        Absolut, en gammal klassiker. Det skrev jag om redan i artikel: https://newsvoice.se/2019/10/server-forsvarsmakten-cyberattack-newsvoice/

        “Ett sätt kan vara att överbelasta t ex en firewallen, tills trafiken står till. Vad en tekniker då kan göra är att starta om, och så tar man sig in den vägen”.

        Vad det beror på? Kan inte allt, men det fungerar som så att när en dator startar om gör datorn det från grunden. En dator har redan ett miniOS på moderkortet: det så kallade BIOS (basic input output system). Det är en lite ordlek, då det gammalgrekiska ordet för liv är just BIO. Finns som fossil i många indoeuropeiska språk: biologi – logo = lära, bio = liv.

        Tar du bort hårddisken, DVD, minne, tgnb osv finns det i vart fall detta miniliv kvar i datorn (BIOS – grundläggande liv) detta miniOS sitter på ett skrivbart CMOS-minne, vanligen i datorns klocka; det så kallade RTC:n (Real-Time Clock) som sitter på moderkortet. När BIOS startas, startas POST (power up system testing) som tar reda på om tagb, skärm, minne, grafikkort, hårddisk osv finns kopplat till moderkortet. BIOS letar upp hårddisken (med ett OS förhoppningsvis installerat) som sin tur letar upp OS:ts startfiler (program) läser instruktionerna samt utför dem. Under denna känsliga progress har inte alla skyddsprogrammen startat än, och därför är det lättare att ta sig in i datorn i detta läge, eller vilken hårdvara som helst. En dators brandvägg (t ex) startas inte först, utan nästan sist. Samma med antivirus osv. En dator och speciellt ett OS är inget annat än ett lapptäcken av drivrutiner (små program), skriva på olika programspråk i en hierarkiskt struktur – tänkt lager på lager. Det folk ser är mindre än, en tusendel av allt, och bara själva applikationernaprogrammen – de vi ser på skärmen alltså.

        Tror som du att kinesisk Huawei och kaspersky lab ogillas av FRA, NSA. Rätt så naturligt egentligen.

    • Erik. Jag läste, tror det var på Flashback, om någon som hade varit med och levererat till FM och de nedgraderade utrustningen genom att ta bort USB-portarna från moderkortet samt ta bort CD/DVD-enhet mm. bara för att se till att ingen kunde koppla in något som inte ska vara inkopplat. Det låter då lite konstigt att en kraftig analysserver som inte ska ha access till Internet ändå har påslaget Wifi.

      • En orsak till man tar bort USB-portarna och CD/DVD-enhet mm är att man vill förhindra att någon går in i setupen och ändrar i BIOS:en bootsektorer, som då letar efter MBR (Master Boot Record) på en USB-sticka eller CD/DVD-enhet istället för hårddisken och då kan man starta datorn med ett annat OS man har full kontroll över, och samtidigt komma åt all information på hårddisken. Lite långsökt, då detta förutsätter att man kommer i datorns fysiska närhet, samt att komma åt setupen i win 10 för att ändra där i, är knepigare i dag. Snarare är det nog så att man vill förhindra att någon gör en Chelsea Manning: kopierar ner känsliga uppgifter på en DVD eller usb-sticka och sänder till Wikileak – utan en USB eller DVD hur skall man kunna kopiera ner informationen? Maila går inte om du sitter innanför brandväggar.

        Sedan angående att “en kraftig analysserver som inte ska ha access till Internet ändå har påslaget Wifi” tror jag inte jag heller. Vet inte hur försvarsmakten har sina servrar, om dem har dem i containers, virtuella maskiner, men knappast på en ensam fysisk tung maskin. Spelar ingen roll. Vad jag tror är att PC som administrerade serverklustret hade WIFI påslaget, möjligen i ett automatiskt läge. Efter vad vi läst här kom botnet vidare via PCs WIFI och efter många routerhop in i klustret. Sedan hur dem kunde få en server, som inte har kontakt nätet, ändå lyckades samt även kontrollera den, vet vi inte, men knappast över en direkt WIFI access. Det låter avancerat i mina öron i vart fall.

        • Det där med att ta bort USB-portar och CD/DVD-läsare mm. beror ju främst på att FM inte fullt ut litar på den egna personalen, som de båda Stigarna Wennerström som Bergling visat finns det fog för den misstron. Att då samma möjligt opålitliga personal ens har möjlighet att koppla upp denna avskilda server mot nätet visar på ett mentalt glapp i ledningsskiktet.

          Angående analysservern i sig så oavsett den rent tekniska biten så är det konstigt att en server som inte ska ha någon Internet-access ändå lyckades få just detta. Det här tyder på ett såväl dåligt säkerhetstänk som en usel framförhållning. Speciellt då med tanke på att det är en verksamhet som ska försvara andra från såna här hot. Lyckas man inte ens med självförsvar kan man inte heller försvara någon annan.

          Men med tanke på hur den övriga myndighetsapparaten fungerar så varför skulle FM vara ett undantag. Man kan ju inte tänka på precis allting när man är fullt upptagen med att dansa med transor och någonstans tvingas man prioritera.

  • IBM? Outsourcar FM? Jag känner till att många myndigheter outsourcar eller hyr serverhallar, men den driftade parten kan naturligtvis inte komma åt innehållet. Faktum är att många myndigheter måste omförhandla serverhall vartannat år. Mycket jobb som måste till i onödan. Med med dagens politiker skulle det inte förvåna mig att FM Outsourcar FM till IBM, som amerikanska försvaret har ett djup samarbete med.

    I och med ett så enkelt kommando som pinga avslöjar att servern som försvarets, borde attacken inte komma från dem medvetet, om man inte vill outa sig förstås. Det vore höjden av klantighet. FM gör intrångsförsök, men inte via en proxy eller att man på annat sätt maskat sin ip, LOL.

    • Just på grund av att (som jag skrev nedan) att Ip-numret kom från FM, om det nu var så uppenbart? Kan ju tänkas att dem försökte maska också?

      Finns många konstigheter i detta. Ett har jag lärt mig att det spelar ingen roll hur storspelare vi har att göra med samt hur mycket pengar och know howe det finns, den mänskliga faktorn kan alltid göra sig påmind.

  • Janne. Egentligen är de inte 2 år som detta pågått utan många fler år, men tidigare famlade NV i mörkret då vi inte hade en egen server och ingen detaljkunskap om attackerna. Webbhotell vill sällan berätta om överbelastningsattacker eftersom det kan framstå som svaghet (hos webbhotellet).

    • Torbjörn. Över två år är ju ännu värre. Visst, det är automatiserade attacker men någon måste ändå sätta upp dem och hålla på och göra om detta under flera år, då specifika botnet har en begränsad livslängd. Det där gör man inte bara för skojs skull. Som du själv skrev så har de som håller i ett botnet ekonomiska motiv och de som köper tjänsten har ett annat dito. Du har helt uppenbarligen gjort någon riktigt långsint grinig.

  • Men det är ju ändå konstigt om någon helt random snubbe/organisation skulle hålla på att attackera Newsvoice under två hela år utan någon som helst anledning. Då är det nog mer relaterat till dina artiklar angående diverse verksamheter som t.ex. läkemedels- eller telekomindustrin mm. där någon blivit tillräckligt stött eller känt att det är negativt för den egna verksamheten så att de betalat någon för att genomföra attacker mot sajten. Det kan ju räcka med någon enstaka person som köpt dessa överbelastningsattacker och det går att göra helt anonymt via kryptovalutor och Darknet.

    Vad gäller FM så är det pinsamt oavsett hur eller varför deras server deltog. För kan man inte cyberförsvara sig själv kan man inte heller cyberförsvara någon annan där ute i cyberrymden.

  • Kanske NewsVoice inte är en sån “liten nättidning”, när ngn/några ville angripa tidningen. Om angreppet skulle komma från försvarsmaktens myndighet, så är det snarare en komplimang för det varierande innehållet.

  • Lämna ett svar

    Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *